出帳管理系統的漏洞，竟成為駭客入侵的管道

S觀察員

出帳管理系統的漏洞，竟成為駭客入侵的管道，並藉此發動勒索軟體攻擊



資安業者Huntress揭露SQL注入漏洞CVE-2021-42258，該漏洞存在於BQE推出的出帳管理系統BillQuick Web Suite，值得留意的是，此漏洞已被用於實際攻擊行動

BQE是專門開發企業財務管理系統的澳洲軟體公司，號稱有超過40萬客戶使用他們的產品。而這項SQL漏洞存在於名為BillQuick Web Suite當中，該公司獲報後，於10月7日發布22.0.9.1版予以修補。

對於這個漏洞帶來的影響，Huntress指出，一旦攻擊者利用這項SQL注入漏洞，不只可以存取BillQuick伺服器的資料，還能在Windows伺服器上執行惡意指令。而且，要觸發這項漏洞的難度並不高，研究人員表示，他們只在該系統的登入頁面上輸入單引號，就會出現SQL資料庫的錯誤訊息，進而發現這項漏洞。

至於濫用上述漏洞的攻擊者身分為何？資安新聞網站Bleeping Computer取得Huntress研究人員Caleb Stewart的說法指出，他們基於攻擊者的手法與大型駭客組織明顯不同，研判這是小型的駭客組織所為。此外，研究人員也在10月8日到10日，再度觀察到濫用此BillQuick系統的攻擊行動。

詳細報導